雙機熱備技術(shù)_H3C

1、WORD窗體頂端技術(shù)白皮書· 推薦· 打印· 收藏· 本文附件下載雙機熱備技術(shù)白皮書雙機熱備技術(shù)白皮書關(guān)鍵詞：雙機熱備、主備模式、負載分擔(dān)模式、數(shù)據(jù)同步、流量切換摘  要：防火墻設(shè)備是所有信息流都必須通過的單一點，一旦故障所有信息流都會中斷。保障信息流不中斷至關(guān)重要，這就需要解決防火墻設(shè)備單點故障問題。雙機熱備技術(shù)可以保障即使在防火墻設(shè)備故障的情況下，信息流仍然不中斷。本文將介紹雙機熱備的概念、工作模式、實現(xiàn)機制與典型應(yīng)用等。縮略語：縮略語英文全名中文解釋ALGApplication Level Gateway應(yīng)用層網(wǎng)關(guān)ASPFApplicat

2、ion Specific Packet Filter基于應(yīng)用層的包過濾NATNetwork Address Translator網(wǎng)絡(luò)地址轉(zhuǎn)換VRRPVirtual Router Redundancy Protocol虛擬路由冗余協(xié)議OSPFOpen Shortest Path First開放最短路徑優(yōu)先 目  錄1 概述. 31.1 產(chǎn)生背景. 31.2 技術(shù)優(yōu)點. 52 雙機熱備工作模式. 52.1 主備模式. 52.2 負載分擔(dān)模式. 63 雙機熱備實現(xiàn)機制. 73.1 數(shù)據(jù)同步. 73.2 流量切換. 83.2.1 通過VRRP實現(xiàn)流量切換. 83.2.2 通過動態(tài)路

3、由實現(xiàn)流量切換. 103.3 應(yīng)用限制. 114 H3C實現(xiàn)的技術(shù)特色. 125 雙機熱備典型組網(wǎng)應(yīng)用. 125.1 雙機熱備典型組網(wǎng)應(yīng)用（路由模式主備模式）. 125.2 雙機熱備典型組網(wǎng)應(yīng)用（路由模式負載分擔(dān)模式）. 135.3 雙機熱備典型組網(wǎng)應(yīng)用（透明模式負載分擔(dān)模式）. 146 參考文獻. 151  概述1.1  產(chǎn)生背景在當(dāng)前的組網(wǎng)應(yīng)用中，用戶對網(wǎng)絡(luò)可靠性的要求越來越高，對于一些重要的業(yè)務(wù)入口或接入點（比如企業(yè)的Internet接入點、銀行的數(shù)據(jù)庫服務(wù)器等）如何保證網(wǎng)絡(luò)的不間斷傳輸，成為急需解決的一個問題。如圖1 所示，防火墻作為外網(wǎng)的接入點，當(dāng)設(shè)備出現(xiàn)故障便會

4、導(dǎo)致外網(wǎng)之間的網(wǎng)絡(luò)業(yè)務(wù)的全部中斷。在這種關(guān)鍵業(yè)務(wù)點上如果只使用一臺設(shè)備的話，無論其可靠性多高，系統(tǒng)都必然要承受因單點故障而導(dǎo)致網(wǎng)絡(luò)中斷的風(fēng)險。 圖1  單點設(shè)備組網(wǎng)圖于是，業(yè)界推出了傳統(tǒng)備份組網(wǎng)方案來避免此風(fēng)險，該方案在接入點部署多臺設(shè)備形成備份，通過VRRP或動態(tài)路由等機制進行鏈路切換，實現(xiàn)一臺設(shè)備故障后流量自動切換到另一臺正常工作的設(shè)備。傳統(tǒng)備份組網(wǎng)方案適用于接入點是路由器等轉(zhuǎn)發(fā)設(shè)備的情況。因為經(jīng)過設(shè)備的每個報文都是查找轉(zhuǎn)發(fā)表進行轉(zhuǎn)發(fā)，鏈路切換后，后續(xù)報文的轉(zhuǎn)發(fā)不受影響。但是當(dāng)接入點是狀態(tài)防火墻等設(shè)備時，由于狀態(tài)防火墻是基于連接狀態(tài)的，當(dāng)用戶發(fā)起會話時，狀態(tài)防火墻只會對

5、會話的首包進行檢查，如果首包允許通過則會建立一個會話表項（表項里包括源IP、源端口、目的IP、目的端口等信息），只有匹配該會話表項的后續(xù)報文（包括返回報文）才能夠通過防火墻。如果鏈路切換后，后續(xù)報文找不到正確的表項，會導(dǎo)致當(dāng)前業(yè)務(wù)中斷。雙機熱備解決方案能夠很好的解決這個問題。在鏈路切換前，對會話信息進行主備同步；在設(shè)備故障后能將流量切換到其他備份設(shè)備，由備份設(shè)備繼續(xù)處理業(yè)務(wù)，從而保證了當(dāng)前的會話不被中斷。如圖2 所示，在接入點的位置部署兩臺防火墻，當(dāng)其中一臺防火墻發(fā)生故障時，數(shù)據(jù)流被引導(dǎo)到另一臺防火墻上繼續(xù)傳輸，因為在流量切換之前已經(jīng)進行了數(shù)據(jù)同步，所以當(dāng)前業(yè)務(wù)不會中斷，從而提高了網(wǎng)絡(luò)的穩(wěn)定性

6、與可靠性。圖2  雙機熱備組網(wǎng)圖雙機熱備可以從兩個層面去理解：一個是廣義的雙機熱備，它是一種解決方案，用來解決網(wǎng)絡(luò)中的單點故障問題，它通過數(shù)據(jù)同步和流量切換兩個技術(shù)來實現(xiàn)；一個是狹義的雙機熱備，它是設(shè)備支持的一個功能模塊（只實現(xiàn)了數(shù)據(jù)同步），可以使用對應(yīng)的Web頁簽來配置。本文描述的是廣義的雙機熱備。 1.2  技術(shù)優(yōu)點與傳統(tǒng)備份組網(wǎng)方案相比較，l              雙機熱備解決方案可以保證當(dāng)前業(yè)務(wù)不會因為防火墻單點故障而中斷。

7、l              雙機熱備解決方案支持主備和負載分擔(dān)兩種工作模式，并支持防火墻工作在路由模式或透明模式，可廣泛適用于各種復(fù)雜的組網(wǎng)需求。防火墻工作在路由模式是指防火墻作為三層設(shè)備在網(wǎng)絡(luò)中運行；工作在透明模式是指防火墻作為二層設(shè)備在網(wǎng)絡(luò)中運行。 2  雙機熱備工作模式雙機熱備解決方案根據(jù)組網(wǎng)情況有兩種工作模式：主備模式和負載分擔(dān)模式。在這兩種模式中，設(shè)備的角色根據(jù)是否承擔(dān)流量來決定：有流量經(jīng)過的設(shè)備即為主設(shè)備，無流量經(jīng)過的設(shè)備即為備份設(shè)

8、備。2.1  主備模式主備模式下的兩臺防火墻，其中一臺作為主設(shè)備，另一臺作為備份設(shè)備。主設(shè)備處理所有業(yè)務(wù)，并將產(chǎn)生的會話信息傳送到備份設(shè)備進行備份；備份設(shè)備不處理業(yè)務(wù)，只用做備份（如圖3 所示，F(xiàn)irewall 1處理全部業(yè)務(wù)，F(xiàn)irewall 2用做備份）。當(dāng)主設(shè)備故障，備份設(shè)備接替主設(shè)備處理業(yè)務(wù)，從而保證新發(fā)起的會話能正常建立，當(dāng)前正在進行的會話也不會中斷（如圖4 所示，當(dāng)Firewall 1故障，F(xiàn)irewall 2接續(xù)處理全部業(yè)務(wù)）。圖3  主備模式下，F(xiàn)irewall 1故障前會話示意圖圖4  主備模式下，F(xiàn)irewall 1故障后會話示意圖2.2

9、60; 負載分擔(dān)模式負載分擔(dān)模式下，兩臺設(shè)備均為主設(shè)備，都處理業(yè)務(wù)流量，同時又作為另一臺設(shè)備的備份設(shè)備，備份對端的會話信息（如圖5 所示，F(xiàn)irewall 1和Firewall 2均處理業(yè)務(wù)，互為備份）。當(dāng)其中一臺故障后，另一臺設(shè)備負責(zé)處理全部業(yè)務(wù)，從而保證新發(fā)起的會話能正常建立，當(dāng)前正在進行的會話也不會中斷（如圖4 所示，當(dāng)Firewall 1故障，F(xiàn)irewall 2接續(xù)處理全部業(yè)務(wù)）。圖5  負載分擔(dān)模式下，F(xiàn)irewall 1故障前會話示意圖3  雙機熱備實現(xiàn)機制3.1  數(shù)據(jù)同步防火墻設(shè)備需要維護每條會話的狀態(tài)等相關(guān)信息，當(dāng)主設(shè)備故障、流量切換到備份設(shè)備

10、時，仍然要求備份設(shè)備上有正確的會話信息才能繼續(xù)處理會話報文，否則會話報文會被丟棄從而導(dǎo)致會話中斷。因此，主設(shè)備上會話建立或表項變化時需要將相關(guān)信息同步保存到備份設(shè)備，以保證主設(shè)備和備份設(shè)備會話表項的完全一致。防火墻能夠同步的信息包括會話、NAT、ALG、ASPF、黑、H.323、SIP、ILS、RTSP、NBT、SQLNET等。數(shù)據(jù)同步的方式有批量備份和實時備份：l              批量備份：防火墻設(shè)備工作了一段時間后，可能已經(jīng)存在大量的會話表項，此時加入

11、另一臺防火墻設(shè)備，在兩臺設(shè)備上使能雙機熱備功能后，先運行的防火墻會將已有的會話表項一次性同步到新加入的設(shè)備，這個過程稱為批量備份。l              實時備份：防火墻在運行過程中，可能會產(chǎn)生新的會話表項。為了保證表項的完全一致，防火墻在產(chǎn)生新表項或表項變化后會與時備份到另一臺設(shè)備，這個過程稱為實時備份。3.2  流量切換雙機熱備解決方案利用VRRP或動態(tài)路由實現(xiàn)流量的切換，下面將分別進行介紹。3.2.1  通過VRRP實現(xiàn)流量切換通過V

12、RRP將局域網(wǎng)中的一組設(shè)備配置成一個備份組，這組設(shè)備在功能上就相當(dāng)于一臺虛擬設(shè)備。局域網(wǎng)的主機只需要知道這個虛擬設(shè)備的IP地址，通過這個虛擬設(shè)備與其它網(wǎng)絡(luò)進行通信。備份組中，僅有一臺設(shè)備處于活動狀態(tài)，能夠轉(zhuǎn)發(fā)報文，稱為主用設(shè)備（Master），其余設(shè)備都處于備份狀態(tài)，并隨時按照優(yōu)先級高低做好接替任務(wù)的準(zhǔn)備，稱為備份設(shè)備（Backup）。當(dāng)發(fā)現(xiàn)主用設(shè)備故障時，優(yōu)先級次高的備用設(shè)備會當(dāng)選為新的Master接替原Master工作，整個過程對用戶來說是完全透明的，這就很好的實現(xiàn)了流量切換。雙機熱備的工作模式是主備模式還是負載分擔(dān)模式可以通過組網(wǎng)和VRRP的配置來實現(xiàn)：l  

13、0;           主備模式下僅需要配置一個備份組，不同防火墻在該備份組中擁有不同優(yōu)先級，優(yōu)先級高的防火墻成為Master。如圖6 中所示，F(xiàn)irewall 1和Firewall 2上創(chuàng)建VRRP備份組1，并配置Firewall 1的優(yōu)先級高于Firewall 2。Host A和Host B的缺省網(wǎng)關(guān)設(shè)為備份組1的虛擬IP地址172.17.1.200/24。以此實現(xiàn)Firewall 1能正常工作的情況下，F(xiàn)irewall 1承擔(dān)Host A和Host B的轉(zhuǎn)發(fā)任務(wù)，F(xiàn)irewall 2是B

14、ackup且處于就緒監(jiān)聽狀態(tài)。如果Firewall 1發(fā)生故障，則Firewall 2成為新的Master，繼續(xù)為Host A和Host B提供轉(zhuǎn)發(fā)服務(wù)。圖6  通過VRRP功能實現(xiàn)流量切換示意圖（主備模式）l              負載分擔(dān)模式需要配置兩個備份組，通過配置保證一臺防火墻是備份組1的Master，另一臺防火墻是備份組2的Master。如圖7 所示，F(xiàn)irewall 1和Firewall 2上均創(chuàng)建VRRP備份組1和備份組2，并配置在備份

15、組1上Firewall 1的優(yōu)先級高于Firewall 2，在備份組2上Firewall 2的優(yōu)先級高于Firewall 1。Host A的缺省網(wǎng)關(guān)設(shè)為備份組1的虛擬IP地址172.17.1.200/24，Host B的缺省網(wǎng)關(guān)設(shè)為備份組2的虛擬IP地址172.17.1.201/24。以此實現(xiàn)Firewall 1能正常工作的情況下，Host A的報文通過Firewall 1轉(zhuǎn)發(fā)，Host B的報文通過Firewall 2轉(zhuǎn)發(fā)，F(xiàn)irewall 1和Firewall 2分擔(dān)處理網(wǎng)的報文流量，同時又互為備份，監(jiān)聽對方的狀態(tài)。如果Firewall 1發(fā)生故障，則Firewall 2成為備份組1的Ma

16、ster，Host A和Host B的報文均通過Firewall 2轉(zhuǎn)發(fā)。圖7  通過VRRP功能實現(xiàn)流量切換（負載分擔(dān)）3.2.2  通過動態(tài)路由實現(xiàn)流量切換如果網(wǎng)絡(luò)中不同網(wǎng)段的兩臺設(shè)備A到B之間有多條通路，動態(tài)路由協(xié)議會使用算法選取最優(yōu)的一條路徑作為A到B的路由。當(dāng)這條通路故障，路由協(xié)議會從剩余的可用通路中選擇最優(yōu)的一條作為新的路由，如果故障路由恢復(fù)，則又會重新啟用原路由，從而動態(tài)的保證A與B之間的連通。雙機熱備的工作模式是主備模式還是負載分擔(dān)模式可以通過組網(wǎng)和動態(tài)路由的配置來實現(xiàn)（以下以O(shè)SPF為例）：l     &#

17、160;        主備模式只有一臺防火墻處于工作狀態(tài)，另一臺防火墻處于備份狀態(tài)。如圖8 所示，Router A、Router B、Firewall 1和Firewall 2上均配置OSPF功能，處于同一個OSPF域，在Router A和Router B上都配置Ethernet1/1的cost值小于Ethernet1/2的。這樣，路徑Router A<>Firewall 1<>Router B的優(yōu)先級會高于路徑Router A<>Firewall 2<>Router B，當(dāng)

18、Firewall 1能正常工作的情況下，網(wǎng)發(fā)往外網(wǎng)的報文都會通過Firewall 1轉(zhuǎn)發(fā)；當(dāng)Firewall 1發(fā)生故障，OSPF會啟用次優(yōu)路由，網(wǎng)發(fā)往外網(wǎng)的報文會通過Firewall 2轉(zhuǎn)發(fā)。l              負載分擔(dān)模式下兩臺防火墻處于工作狀態(tài)并互為備份。如圖8 所示，Router A、Router B、Firewall 1和Firewall 2上均配置OSPF功能，處于同一個OSPF域，在Router A和Router B上都配置至少允許兩條等價路

19、由。因為Router A<>Firewall 1<>Router B這條路由與Router A<>Firewall 2<>Router B優(yōu)先級一樣，所以，當(dāng)Firewall 1、Firewall 2能正常工作的情況下，F(xiàn)irewall 1和Firewall 2分擔(dān)處理網(wǎng)發(fā)往外網(wǎng)的報文；當(dāng)Firewall 1發(fā)生故障，則Firewall 2會處理網(wǎng)發(fā)往外網(wǎng)的全部報文。圖8  通過OSPF功能實現(xiàn)流量切換3.3  應(yīng)用限制l         

20、;     雙機熱備只支持兩臺設(shè)備進行備份。l              雙機熱備的兩臺設(shè)備要求硬件配置和軟件版本一致，并且要求接口卡的型號與所在的槽位一致，否則會出現(xiàn)一臺設(shè)備備份過去的信息，在另一臺設(shè)備上無法識別，或者找不到相關(guān)物理資源，從而導(dǎo)致流量切換后報文轉(zhuǎn)發(fā)出錯或者失敗。l            &#

21、160; 雙機熱備只支持?jǐn)?shù)據(jù)同步，不支持配置同步。所以在一端進行某些配置時，比如配置接口類型、接口允許通過的VLAN等，需要手工在對端也進行相應(yīng)的配置。4  H3C實現(xiàn)的技術(shù)特色l              互為備份的兩臺防火墻只負責(zé)會話信息備份，保證流量切換后會話連接不中斷。而流量的切換則依靠傳統(tǒng)備份技術(shù)（如VRRP、動態(tài)路由）來實現(xiàn)，應(yīng)用靈活，能適應(yīng)各種組網(wǎng)環(huán)境。l       &#

22、160;      使用專有的備份鏈路口進行會話信息的備份，該備份鏈路口不作數(shù)據(jù)轉(zhuǎn)發(fā)，從而保障了備份的高可靠性與高性能。5  雙機熱備典型組網(wǎng)應(yīng)用5.1  雙機熱備典型組網(wǎng)應(yīng)用（路由模式主備模式）Firewall 1和Firewall 2是用戶網(wǎng)絡(luò)連接公有網(wǎng)絡(luò)的入口點，F(xiàn)irewall 1和Firewall 2工作在路由模式?，F(xiàn)要現(xiàn)Firewall 1能正常工作的情況下，Host A和Host B通過Firewall 1訪問Server 1。當(dāng)Firewall 1故障，Host A和Host B通過Firewall 2訪問S

23、erver 1，并且Host A、Host B和Server 1的當(dāng)前會話不會被中斷。這個需求可以通過在Firewall 1和Firewall 2上配置VRRP備份組1和備份組2（備份組1用來監(jiān)控下行鏈路，備份組2用來監(jiān)控上行鏈路），并使能數(shù)據(jù)同步功能來實現(xiàn)。圖9  雙機熱備典型組網(wǎng)圖（通過VRRP功能實現(xiàn)流量切換）5.2  雙機熱備典型組網(wǎng)應(yīng)用（路由模式負載分擔(dān)模式）Firewall 1和Firewall 2是用戶網(wǎng)絡(luò)連接公有網(wǎng)絡(luò)的入口點，F(xiàn)irewall 1和Firewall 2工作在路由模式?，F(xiàn)要現(xiàn)Firewall 1能正常工作的情況下，Host A通過Firewall 1訪問Server 1，Host B通過Firewall 2訪問Ser